Jak sprawdzić, czy pracownicy przestrzegają zasad ochrony danych osobowych

Zapewnienie prawidłowego przebiegu procesu przetwarzania danych osobowych wymaga zaangażowania nie tylko administratora bezpieczeństwa informacji, ale także poszczególnych pracowników. Wymaga to stworzenia odpowiednich procedur, dopiero ich stosowanie i przestrzeganie zapewni właściwą ochronę danych osobowych.

Jedną z form nadzorowania procesu przetwarzania danych osobowych przez osoby upoważnione są sprawdzenia realizowane przez ABI zgodnie z przygotowywanym planem sprawdzenia. W trakcie przeprowadzanych czynności ABI ma dostęp nie tylko do wszystkich urządzeń oraz nośników służących do przetwarzania danych osobowych, ale może także odbierać ustne wyjaśnienia od osób zaangażowanych w proces przetwarzania danych osobowych. Przy ocenianiu właściwego poziomu wiedzy pracowników, pomocne może okazać się również weryfikowanie dokumentów przygotowywanych przez osoby zaangażowane w proces przetwarzania danych osobowych. W trakcie sprawdzenia administrator bezpieczeństwa informacji ma również możliwość bezpośredniej rozmowy z pracownikami, co pozwala mu zapoznać się ze stanem wiedzy pracowników oraz stosowanymi procedurami.

Przeprowadzanie planowych sprawdzeń ma na celu stałe nadzorowanie przestrzegania zasad dotyczących ochrony danych osobowych w jednostce organizacyjnej. Dają one ako administratorowi bezpieczeństwa informacji możliwość sprawdzania i weryfikowania na bieżąco wiedzy upoważnionych osób.

Z przeprowadzonego sprawdzenia ABI przygotowuje sprawozdanie. Jego zakres powinien pokrywać się z art. 36c ustawy o ochronie danych osobowych. Wśród elementów, które powinno zawierać sprawozdanie, znajduje się m.in. opis stanu faktycznego stwierdzonego w toku sprawdzenia oraz inne informacje, które mają istotne znaczenie przy ocenianiu zgodności przetwarzania danych z przepisami o ochronie danych osobowych.

Drugim rodzajem sprawdzeń przygotowanych przez administratora bezpieczeństwa informacji są sprawdzenia doraźne. Trzeba je przeprowadzić w sytuacji, gdy ABI dowie się o naruszeniu ochrony danych osobowych lub będzie miał uzasadnione podejrzenie, że takie naruszenie mogło wystąpić.

O każdej wykrytej nieprawidłowości ABI musi poinformować administratora danych, wskazując personalnie osobę, która dokonała naruszenia. Co więcej, jeżeli podczas sprawdzenia ABI uzna, że pracownik nie przestrzega zasad określonych w dokumentacji przetwarzania danych osobowych, musi pouczyć ją o prawidłowym sposobie przetwarzania danych osobowych.

Skuteczną metodą weryfikowania wiedzy pracowników są okresowe szkolenia przeprowadzane przez administratora bezpieczeństwa informacji. Mają one na celu nie tylko podnoszenie wiedzy pracowników z zakresu ochrony danych osobowych, ale także jej weryfikowanie. Warto, by podczas szkoleń pracownicy mieli możliwość przećwiczenia konkretnych przypadków, tak by wiedzieli, w jaki sposób zachować się np. w przypadku wystąpienia incydentu ochrony danych osobowych. Aby jednak przepis ten spełniał swą funkcję administrator bezpieczeństwa informacji musi dysponować aktualną wiedzą oraz dbać o samorozwój. W związku z tym tak ważne jest, by ABI sam uczestniczył w kursach i szkoleniach.

Ważne jest także, by szkolenia były dostosowane do potrzeb i charakteru pracy pracowników. Inne zagadnienia będą bowiem interesować pracowników kadr, a inne działu IT. Ustawodawca nie określił, jak często powinny odbywać się szkolenia. W każdej jednostce organizacyjnej częstotliwość ta będzie różna w zależności od stanu wiedzy pracowników, ale także wielkości jednostki organizacyjnej oraz charakteru prowadzonej działalności.

Najbardziej skuteczną metodą nadzorowania prawidłowości procesu przetwarzania danych osobowych jest bieżąca i systematyczna praca administratora bezpieczeństwa informacji, a nie działanie wyłącznie, wówczas gdy istnieje realne zagrożenie naruszenia przepisów ochrony danych osobowych. W związku z tym pracownicy powinni mieć możliwość stałej współpracy z administratorem bezpieczeństwa informacji zwłaszcza, w sytuacjach gdy będą mieli wątpliwość, czy nie narażają jednostki organizacyjnej na ryzyko wystąpienia incydentu.

Właściwe wypełnianie obowiązków nałożonych na administratora bezpieczeństwa informacji jest możliwe wyłącznie wówczas, gdy będzie miał zapewnione odpowiednie do tego warunki. W związku z tym tak ważne jest, aby administrator danych zapewnił mu niezależność podczas wykonywanych zadań.